安全基礎:站長教你如何識別病毒現象

·電腦病毒的現象
　　在清除電腦病毒的過程中，有些類似電腦病毒的現象純屬由電腦硬體或軟體故障引起，同時有些病毒發作現象又與硬體或軟體的故障現象相類似，如引導型病毒等。這給使用者造成了很大的麻煩，許多使用者往往在用各種查殺病毒軟體查不出病毒時就去格式化硬碟，不僅影響了硬碟的壽命，而且還不能從根本上解決問題。所以，正確區分電腦的病毒與故障是保障電腦系統安全執行的關鍵。

　　一、電腦病毒的現象

　　在一般情況下，電腦病毒總是依附某一系統軟體或使用者程式進行繁殖和擴散， 病毒發作時危及電腦的正常工作，破壞資料與程式，侵犯電腦資源。電腦在感染病毒後，總是有一定規律地出現異常現象:

　　1.螢幕顯示異常，螢幕顯示出不是由正常程式產生的畫面或字串，螢幕顯示混亂；

　　2.程式裝入時間增長，檔案執行速度下降；

　　3.使用者沒有存取的裝置出現工作信號；

　　4.磁碟出現莫名其妙的檔案和壞塊， 卷標發生變化；

　　5.系統自行引導；

　　6.丟失資料或程式，檔案位元數發生變化；

　　7.記憶體空間、磁碟空間減小；

　　8.異常當機；

　　9.磁碟存取時間比平時增長；

　　10.系統引導時間增長。

　　如果出現上述現象時，應首先對系統的BOOT區、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE檔案進行仔細檢查，並與正確的檔案相比較，如有異常現象則可能感染病毒。然後對其它檔案進行檢查，有無異常現象，找出異常現象的原因。病毒與故障的區別的關鍵是，一般故障只是無規律的偶然發生一次，而病毒的發作總是有規律的。

·與病毒現象類似的硬體故障
　　二、與病毒現象類似的硬體故障


　　硬體的故障範圍不太廣泛，但是很容易被確認。在處理電腦的異常現象時很容易被略過，只有先排除硬體故障，才是解決問題的根本。

　　1.系統的硬體組態

　　這種故障常在相容機上發生，由於配件的不完全相容，導致一些軟體不能夠正常執行。筆者遇到過一台相容機，聯迅綠色節能主機板，昆騰大腳硬碟，開始時安裝小軟體非常順利，但是安裝WINDOWS時卻出現了裝不上的故障，開始也懷疑病毒作怪， 在用了許多殺毒軟體後也不能解決問題。後來查閱了一些資料才發現了問題所在，因主機板是節能型的，而CPU、硬碟卻不是節能型的，當安裝軟體的時間超過主機板進入休眠時間的期限時，主機板就進入了休眠狀態，於是就由於主機板、CPU、硬碟工作不協調而出現了故障。解決的辦法很簡單，把主機板的節能開關關掉就一切正常了。所以，使用者在自己組裝電腦時應首先考慮配件的相容性， 購買配件前應仔細閱讀產品說明書。

　　2.電源電壓不穩定

　　由於電腦所使用的電源的電壓不穩定，容易導致使用者檔案在磁碟讀寫時出現丟失或被破壞的現象， 嚴重時將會引起系統自啟動。如果使用者所用的電源的電壓經常性的不穩定，為了使您的電腦更安全地工作， 建議您使用電源穩壓器或不間斷電源(UPS)。

　　3.外掛程式接觸不良

　　由於電腦外掛程式接觸不良， 會使某些裝置出現時好時壞的現象。例如: 監示器信號線與主機接觸不良時可能會使監示器顯示不穩定; 磁碟線與多功能卡接觸不良時會導致磁碟讀寫時好時壞; 印表機電纜與主機接觸不良時會造成印表機不工作或工作現象不正常; 滑鼠線與序列口接觸不良時會出現滑鼠時動時不動的故障等等。

　　4.磁片機故障

　　使用者如果使用質量低劣的磁碟或使用損壞的、發霉的磁碟， 將會把磁片機磁頭弄髒， 出現無法讀寫磁碟或讀寫出錯等故障。遇到這種情況， 只需用清洗盤清洗磁頭， 一般情況下都能排隊故障。如果污染特別嚴重， 需要將磁片機拆開， 用清洗液手工清洗。

　　5.關於CMOS的問題

　　眾所周知，CMOS中所存儲的資訊對電腦系統來說是十分重要的，在微機啟動時總是先要按CMOS中的資訊來偵測和初始化系統(當然是最基本的初始化)。在486以上的主機板裡，大都有一個病毒監測開關，使用者一般情況下都設定為「ON」，這時如果安裝WINDOWS95，就會發生當機現象。原因是安裝WINDOWS95時，安裝程式會修改硬碟的引導部分、系統的內部中斷和中斷向量表，而病毒監測程式不允許這樣做， 於是就導致了當機。建議使用者在安裝新系統時， 先把CMOS中病毒監測開關關掉。另外， 系統的引導速度和一些程式的執行速度減慢也可能與CMOS有關， 因為CMOS的進階設定中有一些影子記憶體開關， 這也會影響系統的執行速度。

與病毒現象類似的軟體故障

　　三、與病毒現象類似的軟體故障


　　軟體故障的範圍比較廣泛， 問題出現也比較多。對軟體故障的辨認和解決也是一件很難的事情， 它需要使用者有相當的軟體知識和豐富的上機經驗。這裡介紹一些常見的症狀。

　　1.出現「Invalid drive specification」(非法磁碟機號)

　　這個提示是說明使用者的磁碟機丟失， 如果使用者原來擁有這個磁碟機， 則可能是這個磁碟機的主引導扇區的分區表參數破壞或是磁碟標誌50AA被修改。遇到這種情況用DEBUG或NORTON等工具軟體將正確的主引導扇區資訊寫入磁碟的主引導扇區。

　　2.軟體程式已被破壞(非病毒)

　　由於磁碟質量等問題， 檔案的資料部分丟失， 而這程式還能夠執行， 這時使用就會出現不正常現象， 如Format程式被破壞後， 若繼續執行， 會格式化出非標準格式的磁碟， 這樣就會產生一連串的錯誤。但是這種問題極為罕見。

　　3.DOS系統組態不當

　　DOS作業系統在啟動時會去尋找其系統組態檔案CONFIG.SYS，並按其要求組態執行環境。如果系統環境設定不當會造成某些軟體不能正常執行， 如C\C++語言系統、AUTOCAD等等。原因是這些程式執行時開啟舊檔的檔案過多， 超過系統預設值。

　　4.軟體與DOS版本的相容性

　　DOS作業系統自身的特點是具有向下的相容性。但軟體卻不同，許多軟體都要過多地受其環境的限制， 在某個版本下可正常執行的軟體， 到另一個DOS版本下卻不能正常執行， 許多使用者就懷疑是病毒引起的。如舊版的2.13漢字系統， 在DOS 3.30下執行正常， 而在DOS6.2下執行會出現亂碼現象。

　　5.引導過程故障

　　系統引導時螢幕顯示「Missing operating system」(作業系統丟失)， 故障原因是硬碟的主引導程式可完成引導，但無法找到DOS系統的引導記錄。造成這種現象的原因是C盤無引導記錄及DOS系統檔案， 或CMOS中硬碟的類型與硬碟本身的格式化時的類型不同。需要將系統檔案傳遞到C盤上或修改CMOS組態使系統從磁片上引導。

　　6.用不同的編輯軟體程式

　　使用者用一些編輯軟體編輯源程式， 編輯系統會在檔案的特殊地方做上一些標記。這樣當源程式編譯或解釋執行時就會出錯。例如， 用WPS的N指令編輯的文字檔案， 在其頭部也有版面參數，有的程式編譯或解釋系統卻不能將之與源程式分辨開， 這樣就出現了錯誤。

　　7.有關FOXBASE問題

　　經常使用FOXBASE的使用者可能會發現在磁碟中會生成一些「S」字元或數字命名的檔案， 還會發現某些資料庫檔案資料丟失。這一現象與電腦病毒極為相似， 其實造成這一現象的主要原因是使用者在使用FOXBASE後，沒有後退到DOS狀態就關掉機器， 或在使用FOXBASE中途掉電。建議使用者在使用FOXBASE後返回到DOS狀態後才關機， 否則不但會造成上述現象， 並且會對磁碟造成損壞。

　　在學習、使用電腦的過程中，可能還會遇到許許多多與病毒現象相似的軟硬體故障，所以使用者要多閱讀、參考有關資料，瞭解偵測病毒的方法，並注意在學習、工作中積累經驗，就不難區分病毒與軟硬體故障了。



瑞星